Regolamento per il trattamento del Sistema d informazione KPT/CPT (Secondo l art. 21 OLPD e art. 84b LAMal)

Documenti analoghi
REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Dipartimento federale di giustizia e polizia DFGP Ufficio federale di polizia fedpol. Direttiva

TENUTA SOTTO CONTROLLO DEI DOCUMENTI

Protocollo Informatico (D.p.r. 445/2000)

Politica del WHOIS relativa al nome a dominio.eu

Ordinanza sulle procedure di certificazione della protezione dei dati (OCPD)

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Protocollo Informatico (D.p.r. 445/2000)

Politica della sicurezza delle informazioni. della EGK-Cassa della salute

REGOLAMENTO PER LA DISCIPLINA

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

L.R. 15/2010, art. 29, c. 1, lett. f) e g) B.U.R. 5/11/2014, n. 45. DECRETO DEL PRESIDENTE DELLA REGIONE 22 ottobre 2014, n. 0206/Pres.

ALLEGATO ALLA DELIBERA N DEL 17 OTTOBRE 2014

Comune di San Martino Buon Albergo Provincia di Verona

La gestione documentale nel Codice delle Amministrazioni Digitali

Faber System è certificata WAM School

Gruppo Buffetti S.p.A. Via F. Antolisei Roma

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE

SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

CitySoftware PROTOCOLLO. Info-Mark srl

LA PRIVACY DI QUESTO SITO

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

PIANO DI CONSERVAZIONE DEI DOCUMENTI

Ordinanza sul sistema di trattamento dei dati concernenti le prestazioni di sicurezza private

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

MODALITÀ ORGANIZZATIVE E PIANIFICAZIONE DELLE VERIFICHE SUGLI IMPIANTI

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

Ordinanza sul registro delle carte per l odocronografo

Riforma "Specialista del commercio al dettaglio" Direttive concernenti lo svolgimento di esami modulari per candidati specialisti del commercio al

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

MUDE Piemonte. Modalità operative generazione Procura speciale

Direttive sulla gestione degli atti nell AVS/AI/IPG/PC/AF/AFam (DGA)

Ordinanza sui requisiti minimi delle misure tecniche e organizzative per l utilizzazione sistematica del numero d assicurato AVS al di fuori dell AVS

ART. 1 OGGETTO ART. 2 FINALITA ART. 3 DEFINIZIONI DI RIFERIMENTO

Ordinanza concernente il sistema AUPER automatizzato di registrazione delle persone

Informativa privacy. Data: 01/01/2010 Versione: 2.0

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

COMUNE DI CARASCO (Provincia di Genova)

FORM CLIENTI / FORNITORI

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Gestione dei documenti e delle registrazioni Rev. 00 del

COMUNE DI SANSEPOLCRO REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

PROCEDURA DI SISTEMA GESTIONE E ORGANIZZAZIONE DELLA DOCUMENTAZIONE

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

Servizio online «Distinta d impostazione Lettere» Istruzioni

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

SCHEMA DI DELIBERAZIONE

Presidenza del Consiglio dei Ministri

Regolamento SWICA sulla protezione dei dati

Politica per la Sicurezza

Manuale delle Procedure ACQUISIZIONE DI BENI E SERVIZI

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (Art. 11, D. Lgs. 27 ottobre 2009, nr. 150)

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta

INFORMATIVA DELL INIZIATIVA CARTA ROMA

Legge federale sull assicurazione per la vecchiaia e per i superstiti

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

SOMMARIO. Allegato C al Manuale della Qualità ( MQ rev. 3 del )

INFOSTAT-COVIP. Istruzioni per l accesso e le autorizzazioni

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Saipem REGOLAMENTO GARA ELETTRONICA

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

Edok Srl. FatturaPA Light. Servizio di fatturazione elettronica verso la Pubblica Amministrazione. Brochure del servizio

INDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

Comunicazione di atti scritti a un autorità

PartnerWeb. 1 Sommario. 1.1 Che cos'è PartnerWeb? 1.2 I Suoi vantaggi. 1.3 Requisiti tecnici. 1.4 A proposito della sicurezza

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

Sistema di gestione della Responsabilità Sociale

MANUALE DI CONSERVAZIONE

Fattura Elettronica. Flusso dati

GESTIONE DELLE SEGNALAZIONI RICEVUTE DALL ORGANISMO DI VIGILANZA E DAI SOGGETTI PREPOSTI DI HS PENTA S.P.A.

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

5.1.1 Politica per la sicurezza delle informazioni

PIANO DI CONSERVAZIONE DEI DOCUMENTI

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

Concetto qualità Aprile 2014

Il protocollo informatico

Ordinanza sulla tessera d assicurato per l assicurazione obbligatoria delle cure medico-sanitarie

Provincia di Napoli REGOLAMENTO PER LA GESTIONE E L'UTILIZZO DELLA POSTA ELETTRONICA

Sistema di Gestione per la Qualità

Servizio Tesorerie Enti. Servizi on line FATTURAZIONE ELETTRONICA

Manuale per la gestione del protocollo, dei flussi documentali e degli archivi

REGOLAMENTO PER LA DISCIPLINA DELL ASSEGNAZIONE E DELL USO DEGLI INDIRIZZI MAIL

PROCEDURA OPERATIVA PER LA GESTIONE DELLO SVILUPPO DEL SOFTWARE BM-33T

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

REV. 2015/00 Pag. 1 di 5

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Transcript:

Regolamento per il trattamento del Sistema d informazione KPT/CPT (Secondo l art. 21 OLPD e art. 84b LAMal) Versione 2.0 22.01.2013 01.01.2012 CPT 1

Sommario 1. Situazione di partenza...3 2. Contenuto...3 3. Sistema delle unità organizzative in questione (Organo responsabile della gestione del sistema Sistemi periferici)....4 3.1 Descrizione delle interfacce per l elaborazione dei dati personali degni di particolare protezione...5 3.2 Provenienza dei dati...6 3.3 Destinatari dei dati...6 3.4 Scopo della trasmissione dei dati...7 3.5 Ampiezza della trasmissione di dati...7 3.6 Periodicità della trasmissione dei dati...7 3.7 Generatore della trasmissione dei dati...7 3.8 Mezzo di trasmissione dei dati...7 4. Organigramma dell organo responsabile della gestione del sistema (orgs)...8 5. Responsabilità...8 6. Documentazione della realizzazione e la gestione della collezione dei dati...9 7. Registrazione della collezione dei dati all IFPDT...9 8. Documentazione di processo del Sistema d informazione KPT/CPT...9 9. Procedura di controllo nonché misure tecniche e organizzative ai sensi dell art. 20 dell OLPD...9 9.1 Controllo d entrata, controllo dei supporti dei dati, controllo della memoria, controllo d accesso...9 9.2 Controllo del trasporto... 10 9.3 Controllo della... 11 9.4 Controllo dell utilizzazione... 11 9.5 Controllo dell introduzione (aggiornamento)... 11 10. Descrizione dei campi dei dati e delle unità organizzative che hanno accesso alla collezione dei dati... 12 11. Modo ed estensione dell accesso degli utenti alla collezione dei dati... 12 12. Formazione degli utenti della collezione dei dati... 12 13. Procedure di trattamento dei dati, di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati... 13 14. Configurazione dei mezzi informatici... 13 15. Procedura di esercizio del diritto d accesso... 13 16. Pubblicazione... 14 17. Ulteriori documenti... 14 ALLEGATO: Processo dell elaborazione automatizzata dei dati del Sistema d informazione KPT/CPT 01.01.2012 CPT 2

1. Situazione di partenza La KPT Cassa malati SA è proprietaria del Sistema di informazione KPT/CPT per la collezione automatizzata dei dati registrato presso l incaricato federale della protezione dei dati e della trasparenza (IFPDT), che contiene dati personali degni di particolare protezione e di profili della personalità. La collezione dei dati ha come obiettivo la realizzazione e l attuazione dell assicurazione malattia e infortuni nel settore dell assicurazione obbligatoria delle cure medico-sanitarie e delle assicurazioni malattie complementari ai sensi della LCA. In applicazione dell art. 11 nonché dell art. 21 dell Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD) è richiesto che per la collezione dei dati sia elaborato un regolamento per il trattamento. A detta dell art. 84b della Legge federale sull assicurazione malattie il regolamento deve essere sottoposto per valutazione all IFPDT e l accesso a esso deve essere pubblico. 2. Contenuto Questo regolamento per il trattamento descrive in maniera particolare il procedimento di elaborazione dei dati e il processo di controllo nonché la gestione del sistema d informazione KPT/CPT. Inoltre, il regolamento contiene le indicazioni necessarie (art. 16 OLPD) per l obbligo di notifica, nonché le indicazioni relative all organo responsabile della protezione dei dati e la sicurezza dei dati, la provenienza dei dati, lo scopo per il quale i dati vengono comunicati regolarmente, la procedura di controllo e in particolare le misure tecniche e organizzative ai sensi dell art. 20 OLPD, la descrizione dei campi dei dati e delle unità organizzative che vi hanno accesso, il tipo e la misura dell accesso da parte degli utenti alla collezione dei dati, la procedura di elaborazione dei dati, e in particolare le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati, la configurazione dei mezzi informatici e la procedura di esercizio del diritto d accesso. Questo regolamento per il trattamento si applica anche per il servizio indipendente di ricezione dei dati, in applicazione dell art. 59a OAMal, che viene gestito internamente alla CPT. 01.01.2012 CPT 3

3. Sistema delle unità organizzative in questione (Organo responsabile della gestione del sistema Sistema circostante) Organo responsabile della gestione del sistema Sistemi periferici Modo di dei dati KPT Cassa malati SA (incl. partner esterni per la gestione IT, partner per l elaborazione dei documenti, partner per le soluzioni postali) SASIS (Santésuisse) Piattaforma di scambio dei dati Partner per i servizi di telemedicina automatizzata dei dati automatizzata dei dati automatizzata dei dati VitaClic, Online Easy AG automatizzata dei dati Partner HMO automatizzata dei dati Partner Regresso automatizzata dei dati Cantoni automatizzata dei dati / manuale dei dati per i singoli casi Assicurazioni sociali manuale dei dati nei singoli casi Autorità / Tribunali manuale dei dati nei singoli casi Assicurati Classic / Online automatizzata dei dati / manuale dei dati nei singoli casi Fornitori di prestazioni automatizzata dei dati / manuale dei dati nei singoli casi 01.01.2012 CPT 4

dpdpp = dati personali degni di particolare protezione, M = manuale, A = automatizzato Regolamento per il trattamento del Sistema d'informazione KPT/CPT La KPT Cassa malati SA gestisce il sistema e quale proprietaria della collezione automatizzata dei dati Sistema di informazione KPT/CPT, ed è anche organo responsabile della collezione dei dati. Alcune prestazioni che parzialmente includono anche l elaborazione dei dati personali, la CPT, sulla base dell art. 84 della LAMal, le ha delegate a partner esterni per la gestione dell IT, nonché a partner per l elaborazione dei documenti e le soluzioni postali. L elaborazione dei dati conforme alle esigenze della protezione dei dati nonché la sicurezza dei dati è stata regolata nei rispettivi contratti di collaborazione. Inoltre, i partner IT in parte sono certificati in adesione alle norme ISO (in particolare ISO 9001:2008 Sistema di gestione della qualità, nonché ISO/IEC 27001:2005 Sistema di gestione della sicurezza delle informazioni). Quale proprietaria della collezione dei dati la CPT rimane responsabile dell osservanza della protezione dei dati per i settori esternalizzati (art. 22 OLPD). Nell ambito della realizzazione e dello svolgimento dell assicurazione malattia e infortuni nel settore dell assicurazione obbligatoria delle cure medico-sanitarie secondo LAMal, la CPT gestisce delle interfacce con i sistemi periferici descritti al punti 3.1 segg., e riconoscibili sul precedente grafico. 3.1 Descrizione delle interfacce per l elaborazione dei dati personali degni di particolare protezione Dalla Alla Scopo Tipo di dati Periodicità Generat ore Mezzo CPT Partner HMO gatekeeping, osservanza del contratto dpdpp mensilmente, trimestralmente e annualmente A e-mail (codificato, Zip), SFTP, Sharepoint CPT Partner per i servizi di telemedicina Consulenza offerta da fornitori di prestazioni di telemedicina dpdpp Mensile A SFTP CPT VitaClic Gestione VitaClic dpdpp Giornalmente A SFTP CPT Piattaforma di scambio dei dati Elaborazione delle prestazioni LAMal dpdpp Giornalmente! / settimanalmente A SFTP Linee affittate CPT Partner Regresso Regresso dpdpp Giornalmente A SFTP CPT Cantoni RIP dpdpp A seconda del bisogno M Dischetto, e- mail, ecc. 01.01.2012 CPT 5

CPT Fornitore di prestazioni 84a LAMal varie Singolo caso M per iscritto CPT Assicurati Informazioni varie Singolo caso M Per iscritto / contatto diretto online (sicuro) CPT Autorità / Tribunali art. 82 LAMal, art. 84a LAMal varie Singolo caso M per iscritto CPT Assicurazione sociale art. 84a LAMal varie Singolo caso M per iscritto Altre interfacce senza partecipazione di dati personali degni di particolare protezione la CPT le ha con i seguenti esterni: Dalla Alla CPT Stamperia esterna CPT Mail Server partner IT CPT VEKA CPT Banca CPT Cockpit partner IT CPT Posta CPT Salariati CPT Credit Suisse CPT Telekurs CPT PostFinance CPT SASIS (Santésuisse) CPT Istituzione comune LAMal (Compensazione del rischio) CPT Partner Assistance 3.2 Provenienza dei dati La provenienza dei dati è riconoscibile dall illustrazione del processo elaborazione automatizzata dei dati Sistema d informazione KPT/CPT (Allegato). I dati provengono dai fornitori di prestazioni, dagli assicurati, da altre assicurazioni sociali, tribunali e uffici d esecuzione. 3.3 Destinatari dei dati La destinataria dei dati è la KPT Cassa malati SA. Come si riconosce dall illustrazione del Processo dell elaborazione automatizzata dei dati Sistema d informazione KPT/CPT (Allegato), documenti con indirizzo personale (principalmente documenti per la direzione e il 01.01.2012 CPT 6

medico di fiducia) giungono direttamente alla collaboratrice o al collaboratore indicato della CPT. Gli altri documenti (lettere, moduli, nonché fatture) vengono digitalizzati, strutturati e transcodificati dal partner per l elaborazione dei documenti (partner esterno) e inseriti nel sistema d informazione KPT/CPT, risp. nel workflow (flusso o procedimento di lavoro. L esatto processo della posta è descritto nel documento Processi postali CPT nonché nel Processo Documenti cartacei. Nella fatturazione nel settore stazionario, tipo DRG, il fornitore di prestazioni inoltra i dati insieme alla fattura sistematicamente con le informazioni amministrative e sanitarie giusta l articolo 59, capoverso 1, OAMal, al servizio indipendente di ricezione dei dati della CPT, secondo l art. 59a, OAMal. Il procedimento dell elaborazione dei dati presso il servizio di ricezione dei dati è stabilito nell allegato di questo regolamento. Altre descrizioni riguardanti l assegnazione alle collaboratrici o ai collaboratori di documenti scannerizzati si trovano nel documento Procedimenti sinistri nella cassa malati CPT. 3.4 Scopo della trasmissione dei dati Lo scopo della trasmissione dei dati in ogni caso è l attuazione dell assicurazione obbligatoria delle cure medico-sanitarie in applicazione della Legge federale sull assicurazione malattie (LAMal). Indicazioni più precise si possono consultare nel capitolo 3.1 Descrizione delle interfacce. 3.5 Ampiezza della trasmissione dei dati Dalla descrizione delle inserzioni (capitolo 3.1) si riconosce quali dati vengono trasmessi a quali destinatari. I dati vengono trasmessi esclusivamente allo scopo dell assistenza giudiziaria e amministrativa, ai sensi dell art. 32, cpv. 2, LPGA e art. 82 LAMal, per l informazione e la consulenza ai sensi dell art. 27 LPGA, della consultazione degli atti ai sensi dell art. 47 LPGA nonché per la dei dati ai sensi dell art. 84a, LAMal. Altre trasmissioni di dati hanno luogo solo in singoli casi su autorizzazione della persona assicurata. Inoltre, la trasmissione dei dati avviene solo rispettando i principi enunciati negli articoli 4 e seguenti della Legge federale sulla protezione dei dati (LPD). Soprattutto la trasmissione dei dati viene effettuata solo rispettando il principio dell adeguatezza e della proporzionalità. 3.6 Periodicità della trasmissione dei dati Dalla descrizione delle interfacce (capitolo 3.1) si apprende con quale periodicità vengono trasmessi i dati. 3.7 Generatore della trasmissione dei dati La trasmissione dei dati è generata a seconda dell interfaccia in maniera automatica o manuale. 01.01.2012 CPT 7

3.8 Mezzo di trasmissione dei dati Nella maggioranza dei casi la trasmissione dei dati viene effettuata per SMTP. Inoltre, i dati vengono trasmessi anche per iscritto o per messaggio elettronico codificato. Nel settore Processi dei sinistri lo scambio dei dati avviene su un interfaccia comune. I dettagli possono essere consultati nel capitolo 3.1 Descrizione delle interfacce. 4. Organigramma dell organo responsabile della gestione del sistema (orgs) Le collaboratrici e i collaboratori dei settori menzionati precedentemente hanno accesso di lettura e/o modifica al Sistema di informazione KPT/CPT in corrispondenza ai lavori lo assegnati come previsto dalla LAMal (confronta capitolo 10). 5. Responsabilità Il Comitato direttore della KPT Cassa malati SA, quale proprietario della collezione dei dati raccolti nel Sistema di informazione KPT/CPT è responsabile della protezione e della sicurezza dei dati. Esso riceve consulenza dal responsabile aziendale della protezione dei dati per quel che riguardano le questioni giuridiche relative alla protezione dei dati. Le responsabilità per settore si possono consultare nell elenco seguente. Ulteriori responsabilità del settore IT nel gestire il Sistema d informazione KPT/CPT sono disciplinate nel Documento di realizzazione Protezione dei dati. Le responsabilità in relazione alle varie componenti e parti del sistema di informazione (rete, banca dati, sistema di gestione, ecc.) sono regolate nelle descrizioni vigenti dei posti di lavoro per il settore IT. Cosa Protezione dei dati in generale, formazione, richieste di consultazione degli atti, domande di consultazione da parte di assicuratori o terzi Personale in genere, attribuzione dell autorizzazione d accesso Chi Incaricato aziendale alla protezione dei dati (IaPD) Direzione del reparto Personale / Formazione 01.01.2012 CPT 8

Dati di base dei clienti Direzione del reparto Servizio clienti / Assicurazioni speciali Dati sui sinistri Direzione del reparto Centro sinistri / Sviluppo dei procedimenti Documenti destinati al medico di fiducia Esame del rischio Sicurezza tecnica dei dati, profili d accesso Eliminazione supporti elettronici di memorizzazione Medico di fiducia Responsabile di gruppo Esame del rischio Responsabile delle applicazioni del sistema d informazione KPT/CPT Direzione del reparto IT 6. Documentazione della realizzazione e la gestione della collezione dei dati La documentazione della gestione e della realizzazione del sistema d informazione KPT/CPT viene conservata nel settore IT nonché presso i partner esterni della CPT e in caso di necessità vengono aggiornati. La gestione della collezione dei dati è disciplinata nel Manuale dell utente Sistema di informazione KPT/CPT Manuale delle prestazioni. La pianificazione e la realizzazione tecnica del sistema di informazione KPT/CPT è documentata nei Manuali aziendali. 7. Registrazione della collezione dei dati all IFPDT (art. 16 OLPD) In osservanza dell art. 11a, cpv. 5, let. e LPD, la KPT Cassa malati SA ha definito un responsabile per la protezione dei dati che sorveglia in maniera indipendente l osservanza interna delle direttive sulla protezione dei dati e gestisce la registrazione della colletta dei dati. In questo modo la CPT è esentata dall obbligo di notifica all IFPDT della colletta dei dati. 8. Documentazione di processo del Sistema d informazione KPT/CPT I processi di elaborazione dei dati del Sistema di informazione KPT/CPT si possono consultare nell illustrazione dei processi (Allegato). Per i singoli passi dell elaborazione dei dati si fa sempre riferimento ai rispettivi documenti determinanti di procedimenti interni della CPT. 9. Procedura di controllo nonché misure tecniche e organizzative ai sensi dell art. 20 dell OLPD 9.1 Controllo d entrata, controllo dei supporti dei dati, controllo della memoria, controllo d accesso Basi legali 01.01.2012 CPT 9

Secondo l art. 9, cpv. 1, lett. a, OLPD, alle persone non autorizzate non si deve concedere accesso ai locali e alle installazioni utilizzate per il trattamento dei dati personali. Secondo l art. 9, cpv. 1, lett. b, OLPD, si deve rendere impossibile alle persone non autorizzate di leggere, copiare, modificare o rimuovere i supporti dei dati. Secondo l art. 9, cpv. 1, lett. e, OLPD, alle persone non autorizzate non deve essere permesso né introdurre dati personali nella memoria né prendere conoscenza di dati memorizzati, modificarli o cancellarli. Secondo l art. 9, cpv. 1, lett. g, OLPD, le persone autorizzate hanno accesso soltanto ai dati personali di cui abbisognano per svolgere i loro compiti. Realizzazione CPT Per garantire che persone non autorizzate non entrino negli edifici della CPT, l accesso è possibile solo alle collaboratrici e ai collaboratori della CPT che sono in possesso di una chiave. Gli uffici possono essere utilizzati solo a scopi di servizio. Alle persone sconosciute non deve essere concessa l entrata all edificio. In caso di dubbio le persone devono identificarsi. Visitatrici e visitatori devono essere accolti presso la ricezione e le collaboratrici e i collaboratori della ricezione non devono lasciarli entrare nell edificio senza accompagnamento. Per motivi di sicurezza dei dati non è ammesso per principio ricevere visitatrici e visitatori a scopi privati. In casi eccezionali sarà possibile nella zona della ricezione. L accesso agli edifici della CPT è regolato nell Ordinamento interno e per l ufficio. Inoltre applicando provvedimenti adatti, la CPT garantisce che nessuna persona non autorizzata possa leggere, copiare, modificare o rimuovere dati nel Sistema di informazione KPT/CPT e che nessuna immissione non autorizzata possa essere effettuata nel sistema di memorizzazione e che non sia possibile visionare, modificare o cancellare dati personali memorizzati senza debita autorizzazione. Così, come spiegato precedentemente, con il controllo d accesso si garantisce che persone esterne non autorizzate non possano entrare negli edifici della CPT, impedendo qualsiasi elaborazione dei dati per mezzo di persone esterne non autorizzate. Per impedire l elaborazione non autorizzata dei dati da parte di collaboratrici o collaboratori della CPT, la CPT limita o impedisce con provvedimenti tecnici l accesso a dati che alle collaboratrici o ai collaboratori non servono per assolvere i compiti loro assegnati ai sensi della LAMal (art. 84. LAMAL). Ulteriori spiegazioni concernenti le limitazioni d accesso sono raccolte nel capitolo 11 di questo regolamento. Inoltre, con vari regolamenti e direttive le collaboratrici e i collaboratori sono istruiti sulla corretta elaborazione dei dati. Ricevono le istruzioni adatte tramite i regolamenti Protezione dei dati Documento di base, Protezione dei dati Documento di realizzazione nonché con la Direttiva relativa alla conservazione di messaggi di posta elettronica, telefonate e uso dei sistemi IT 01.01.2012 CPT 10

Oltre a ciò, è possibile ripercorrere nel sistema le modifiche effettuate da parte delle collaboratrici e dei collaboratori (vedi capitolo 9.5). 9.2 Controllo del trasporto Basi legali Secondo l art. 9, cpv. 1, lett. c, OLPD, le persone non autorizzate non possono leggere, copiare, modificare o cancellare dati personali al momento della o del trasporto di supporti di dati. Realizzazione CPT Con appropriati provvedimenti tecnici la CPT garantisce che nel comunicare dati personali nonché durante il trasporto di supporti dati, nessuna persona non autorizzata possa leggere, copiare, modificare o cancellare i dati. Così per la trasmissione elettronica dei dati viene garantita la sicurezza dei dati con l uso della trasmissione SFTP oppure utilizzando linee affittate (IPSS) sicure. Per la trasmissione per posta elettronica di dati personali degni di particolare protezione e/o profili della personalità i dati vengono codificati. 9.3 Controllo della Basi legali Secondo l art. 9, cpv. 1, lett. d, OLPD, i destinatari ai quali vengono comunicati dati personali con l ausilio di impianti di trasmissione possono essere identificati. Realizzazione CPT La trasmissione dei dati avviene per SFTP / IPSS a indirizzi destinatari verificati. 9.4 Controllo dell utilizzazione Basi legali Secondo l art. 9, cpv. 1, lett. f, OLPD, le persone non autorizzate non possono utilizzare i sistemi di trattamento automatizzato di dati personali con l ausilio di impianti di trasmissione. Realizzazione CPT Per l accesso al Sistema di informazione KPT/CPT la CPT dispone di un infrastruttura di sicurezza a più livelli. Fra le altre cose, le collaboratrici autorizzate e i collaboratori autorizzati dispongono di un login per l uso del sistema. 01.01.2012 CPT 11

Con il firewall il sistema è protetto dall uso da parte di persone non autorizzate esterne alla CPT. La sicurezza viene controllata continuamente nell ambito dei provvedimenti di sicurezza IT. 9.5 Controllo dell introduzione (aggiornamento) Basi legali l art. 9, cpv. 1, lett. h, OLPD, deve essere possibile verificare a posteriori le persone che introducono dati personali nel sistema nonché i dati introdotti e il momento dell introduzione. L aggiornamento deve comunque essere effettuato solo se opportuno e necessario. Le collaboratrici e i collaboratori devono essere informati della protocollizzazione. Realizzazione CPT La CPT aggiorna le attività più importanti. Per controllare l osservanza delle regole d utilizzazione la CPT analizza il verbale d aggiornamento in maniera anonima. Se a seguito di un analisi anonima si riscontra un abuso, oppure se ne sorge un sospetto, l analisi delle registrazioni sarà collegata ai nominativi dell elenco della corrispondenza. In caso di abuso comprovato si adottano le rispettive sanzioni. Le collaboratrici e i collaboratori della CPT sono informati di questo modo di procedere. La protocollizzazione è stabilita nella Direttiva relativa alla conservazione dei messaggi di posta elettronica, telefonate e uso dei sistemi IT. 10. Descrizione dei campi di dati e delle unità organizzative che hanno accesso alla collezione dei dati (art. 21, cpv. 2, lett. e, OLPD) I diritti d accesso al Sistema di informazione KPT/CPT sono regolati da un sistema di controllo degli accessi basato sui ruoli. Il sistema di controllo degli accessi è specificato in un modulo per la richiesta dell autorizzazione d accesso. In una matrice d accesso è stabilito quali ruoli sono disponibili tramite quale tipo di accesso al Sistema di informazione KPT/CPT. 11. Modo ed estensione dell accesso degli utenti alla collezione dei dati (art. 21, cpv. 2, lett. f, OLPD) L accesso al Sistema di informazione KPT/CPT è concesso solo a quelle collaboratrici e a quei collaboratori che ne hanno effettivamente bisogno. Le collaboratrici e i collaboratori vengono assegnati a un profilo di utenti (confronta il precedente capitolo 10) e ricevono di seguito un autorizzazione d accesso che non può essere trasferita a terzi. In particolare si stabilisce anche se la collaboratrice o il collaboratore ha solo un autorizzazione d interrogazione oppure se è anche autorizzata/o a effettuare modifiche. Le collaboratrici e i collaboratori della CPT non hanno alcun accesso ai dati che giungono al servizio indipendente di ricezione dei dati e che questo elabora in maniera automatizzata. Quando il servizio di ricezione invia alla verifica delle fatture, le collaboratrici e i collaboratori 01.01.2012 CPT 12

addetti all esame del caso ricevono accesso alle fatture e ai relativi MCD fino a che il caso è completato. L accesso alle MCD viene interdetto con il completamento del caso. L unità organizzativa Personale + Formazione è responsabile che le collaboratrici e i collaboratori ricevano il profilo d utente adatto e fa richiesta per le rispettive autorizzazioni d accesso. Il responsabile delle applicazioni per il Sistema di informazione KPT/CPT esamina le richieste in quanto alla loro completezza e rilascia l autorizzazione d accesso. 12. Formazione degli utenti della collezione dei dati Gli utenti del Sistema d informazione KPT/CPT ricevono la formazione in vari modi in relazione al settore della legge sulla protezione dei dati nonché per la tecnica d applicazione. Così ogni nuova collaboratrice e ogni nuovo collaboratore che inizia la sua attività presso la CPT deve assolvere una formazione relativa alla protezione dei dati. È anche prevista una formazione per l uso del Sistema d informazione KPT/CPT. Inoltre, la CPT istruisce le collaboratrici e i collaboratori con un modulo di e-learning concernente settore Protezione dei dati. Gli utenti del Sistema d informazione KPT/CPT ricevono un supporto specifico in tutto il sistema per ogni campo sulla base di vari sussidi d applicazione, nonché nel settore della protezione dei dati con due regolamenti relativi alla protezione dei dati ( Protezione dei dati Documento di base, Protezione dei dati Documento di realizzazione) 13. Le procedure di trattamento dei dati, segnatamente le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati (art. 21, cpv. 2, lett. g, OLPD) Ogni modifica effettuata da una collaboratrice o da un collaboratore viene registrata tecnicamente (confronta il precedente capitolo 9.5). È costantemente riconoscibile sia lo stato precedente che quello attuale della mutazione per poter garantire la ricostruzione dell elaborazione dei dati. Il processo dell elaborazione dei dati, e in particolare l archiviazione nonché la distruzione di dati è documentato nei regolamenti Protezione dei dati Documento di base e Protezione dei dati Documento di realizzazione. 14. Configurazione dei mezzi informatici (art. 21, cpv. 2, lett. h, OLPD) Hardware e software utilizzati in accordo con i partner esterni della CPT corrispondono agli standard internazionali. Le documentazioni delle configurazioni dei mezzi informatici utilizzati per il Sistema d informazione KPT/CPT vengono conservati e se necessario aggiornati nel settore IT nonché presso i partner esterni della CPT. Per motivi di sicurezza dei sistemi, dei processi e dei dati non si tengono registri delle indicazioni della configurazione dei mezzi informatici in quanto ai componenti di sicurezza. 01.01.2012 CPT 13

15. Procedura di esercizio del diritto d accesso (art. 21, cpv. 2, lett. i, OLPD) Richieste di informazioni secondo l art. 8 OLPD devono essere sottoposte all incaricato aziendale della protezione dei dati: KPT Cassa malati SA Incaricato della protezione dei dati Casella postale 8624 CH-3001 Berna bdsb@kpt.ch Il processo interno per la gestione delle richieste di informazione è regolato nel documento Processo Diritto d informazione KPT Cassa malati SA. 16. Pubblicazione Secondo l art. 84b della LAMal questo regolamento e i suoi allegati saranno pubblicati nell Internet sul sito kpt.ch 17. Ulteriori documenti Di seguito sono menzionati gli ulteriori documenti ai quali fanno riferimento questo regolamento e i suoi allegati. Per ragioni di sicurezza dei sistemi, dei processi e dei dati, per la protezione della riservatezza degli assicurati nonché per la protezione dei segreti commerciali della CPT e dei suoi partner commerciali (esterni) questi documenti non sono resi accessibili dall esterno. Documentazione di processo Processi postali CPT Procedimento Pezze giustificative cartacee Criteri di smistamento Partner soluzioni postali Elaborazione sinistri Concetto di autorizzazione Elaborazione delle prestazioni Autorizzazioni Processi di documenti Elenco dei documenti Elaborazione dei sinistri Processo di assegnazione Processi Sinistri CPT Cassa malati Protezione dei dati Documento di base Protezione dei dati Documento di realizzazione Direttive Archiviazione di messaggi di posta elettronica Telefonia Uso dei sistemi informatici Processo Diritto a informazione KPT Cassa malati SA Documentazione concernente la pianificazione e la realizzazione nonché della configurazione del Sistema di informazione KPT/CPT Manuale delle prestazioni Concetto di sistema di autorizzazione d accesso a rotazione con matrice d accesso Procedimento Servizio di ricezione dei dati 01.01.2012 CPT 14

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back